Artículos y Boletines

"Manténgase informado con nuestros artículos y boletines..."

Chile tras el terremoto

Por César Pallavicini Zambrano (www.pallavicini.cl)

  • El Estado y las Empresas de Telecomunicaciones anuncian mejoras.
  • Accionistas y Directivos tienen que definir estrategia en contingencia.

Las empresas se vieron fuertemente impactadas tras el terremoto del pasado 27 de febrero. De hecho, el 45% de ellas presentó daños graves a medianos, en la continuidad de su negocio -según indicó CERET de la Universidad de Chile- dejando en evidencia una falencia en el mundo empresarial sobre este punto.

Llamó la atención que luego del sismo, las empresas que prestan servicios de primera necesidad o primer orden (bancos, compañías telefónicas, farmacias, Data centers, entre otros), hayan quedado inoperativos en sus sistemas de información y/o sin el servicio principal. Y, además de la suspensión de las prestaciones, tenían como respuesta a la comunidad frases tales como: “Estamos sin Sistemas” o “tenemos el Sistema Caído”, aumentando el malestar en sus clientes.

Luego de esta experiencia catastrófica, es de esperar que las empresas (Accionistas y Directivos) asuman responsablemente la importancia de desarrollar un Plan de Continuidad de Negocio; de capacitar a su personal, probarlo, y mantenerlo actualizado y vigente en el tiempo.

Por otra parte, los Organismos Reguladores hicieron recomendaciones, Post- terremoto, dentro de las cuales destacan:

  • Definir las responsabilidades del Directorio, la gerencia y las autoridades.
  • Definir actividades críticas que representen mayor riesgo.
  • Establecer procedimientos comunicacionales internos y externos.
  • Probar el funcionamiento del plan, sobre todo bajo escenarios de falla como desastre en Data Center y corte de energía prolongado, entre otras.

Pareciera que el acuerdo entre el Gobierno y las compañías de telecomunicaciones, van por ese rumbo. Por el colapso en las líneas telefónicas miles de personas no pudieron contactarse, entre ellos personal crítico con sus superiores o personal de coordinación de contingencias, en un momento en que las telecomunicaciones eran fundamentales. Para que esta lamentable realidad no se vuelva a repetir, las empresas de celulares se reforzarán con 400 antenas de emergencia, lo que permitirá mantener la conectividad en caso de catástrofe, según informó el Ministro Felipe Morandé.

Las medidas tomadas son de distintos tipos: triplicar la capacidad de redes, tener autonomía energética, elevar los estándares de la calidad, fiscalización y regulación de las medidas por agentes externos, entre otros. Sin embargo, surge una pregunta: ¿Es suficiente?

Hay que considerar que la caída no fue solamente telefónica. El terremoto desnudó la realidad sobre la seguridad y estabilidad de la infraestructura de tecnologías, dejando en evidencia, incluso, a centros de datos (Data Centers) designados “de contingencia”.

En definitiva, lo cierto es que Chile, tras el terremoto, no es el mismo. El cuestionamiento de la Continuidad de los negocios está en boca de todos los especialistas en el tema. Dentro de las medidas en estudió destacan la implementación de 400 antenas con independencia energética, y que Chile tenga un satélite de comunicaciones propio, para las contingencias.

Aunque el Estado y las empresas de telecomunicaciones mejoren los servicios básicos, las empresas siguen estando expuestas a que en alguna eventualidad mayor, se interrumpa su negocio. Por lo tanto, hay que tomar las medidas para mitigar los riesgos de la mejor forma posible y así otorgar la seguridad -a sus clientes, al directorio y a los accionistas-, de que la empresa (Negocio) es capaz de continuar su desarrollo y ser sustentable en el tiempo.

Seguridad de la Información en Programa de Mejoramiento de Gestión PMG: Empresas del Estado requieren servicios

Por César Pallavicini Zambrano (www.seguridadinformacion.cl)

Desde hace un tiempo el estado avanza en su programa de mejoramiento de la gestión, por lo que ha requerido y requiere nuevos servicios, entre ellos destaca el tema de seguridad de la información, debido a que hace varios años , se dicto de Decreto Supremo 83, el que menciona la necesidad de implementar diferentes dominios de la norma ISO, basado en la adaptación chilena Nch2777, cabe señalar que esta normativa indica las diferentes formas de asegurar la información que administran y gestionan las empresas del estado.

Llama la atención, el atraso que existe en esta materia, debido a que el decreto fue emitido en el gobierno del presidente Lagos.

Sin embargo, estos últimos meses han surgido iniciativas de capacitación para abordar estos proyectos de seguridad, que permitirán avanzar rápidamente.

El Gobierno, junto a las empresas de telefonía celular, identificaron 400 sitios con antenas e instalaciones de telecomunicaciones, los que serán protegidos de forma especial para que no dejen de funcionar en casos de emergencia.
Esta es una de las cuatro medidas que anunció ayer el Gobierno para, según dijo el ministro de Transportes y Telecomunicaciones, Felipe Morandé, asegurar que nunca más los chilenos queden sin comunicación en casos de catástrofes como ocurrió después del terremoto.

El secretario de Estado también detalló el funcionamiento del sistema de alerta temprana vía celulares (ver recuadro).
Las medidas son el resultado de las Mesas de Telecomunicaciones que convocó la autoridad y en la cual participaron las empresas de telefonía móvil y fija.

El ministro dijo que todas las inversiones necesarias serán de cargo de las compañías, salvo el sistema que estará a cargo del envío de los mensajes de alerta temprana, que será licitado y operado por la Oficina Nacional de Emergencia (Onemi).
Pero las medidas ¿implicarán un alza en las tarifas? "Eso es parte de la política comercial de las empresas, pero sí podemos decir que en estos acuerdos que hemos alcanzado con las firmas no se ha planteado que esto implique un aumento de tarifas", dijo Morandé.

Las medidas:

  1. Capacidad. Se triplicará la capacidad actual de las redes celulares para enviar y recibir mensajes de texto. Según el Gobierno, la experiencia internacional, sobre todo los protocolos implementados tras los terremotos en Asia y el impacto de Katrina en EE.UU., sugieren que en casos de emergencia la forma más eficiente y segura de comunicación es el uso masivo de mensajes SMS.
  2. Autonomía energética. Las principales antenas celulares de la red tendrán una mayor autonomía para que no dejen de funcionar por falta de energía eléctrica. Son 400 sitios con antenas e instalaciones de telecomunicaciones a los que se les exigirá que tengan autonomía energética de 48 horas. Para los demás sitios de la red comercial nacional esta exigencia será de entre dos y cuatro horas. Hoy no existe obligación alguna en esta materia.
  3. Elevar estándares. Se aumentarán los estándares de calidad de servicio para la telefonía móvil, igualando la exigencia chilena con la que existe en países desarrollados de Europa y Estados Unidos.
    Esta medida irá acompañada de un nuevo protocolo de medición y fiscalización, más exhaustivo y exigente.
    Además, se publicará en internet un ranking de calidad de servicio de cada compañía, donde se podrá ver no sólo su comportamiento a nivel nacional, también por zonas, para que la gente pueda evaluar qué firma da el mejor servicio donde vive.
  4. Información para emergencias. Se crea un sistema en línea, seguro y, en tiempo real, que permita a instituciones como la Onemi chequear automáticamente el estado de las redes de comunicación de cada empresa y en cualquier lugar de Chile.

Sistema de alerta vía móviles operará en 2011

El próximo año estará implementado el sistema de alerta temprana vía mensajes de texto de los celulares, dijo el ministro Felipe Morandé. Así, ante catástrofes -como terremotos, maremotos u otras emergencias- las personas que están en las zonas afectadas recibirán un mensaje en su teléfono móvil que les avisará qué pasó y cómo proceder.

Este sistema, que se usa en Estados Unidos y Japón, emplea la tecnología CBS ( cell broadcast service ) para alertar a la población. Con esta tecnología se puede lograr que lleguen mensajes automáticos a una región específica, a una ciudad, a un pueblo o a todo el país, porque usa un sistema georreferenciado y no es afectado por la congestión de las redes celulares. Esto, porque usa otros canales de radiofrecuencia para llegar a los teléfonos de cada persona , afirmó Morandé.

Para que el sistema esté operativo se requieren dos pasos previos. Que culmine el trabajo de reformulación de la Onemi que encabeza un comité interministerial de emergencia, donde se define su nueva institucionalidad. Y también se requiere que las personas vayan cambiando sus teléfonos actuales por celulares que integren la tecnología de alerta temprana. Datos preliminares proyectan que cerca de un 70% del parque actual de teléfonos ya cuentan con esta aplicación.

Además, se reglamentará que todo equipo celular que ingrese a Chile a contar del 1 de enero de 2012, incluya obligatoriamente esta tecnología. En el futuro, se aplicará este sistema de alerta temprana también en el marco de la TV digital, para que los mensajes se desplieguen en los televisores.

Logística y Continuidad de Negocio

Por César Pallavicini Zambrano (www.seguridadinformacion.cl)

Recientemente, todos vivimos los efectos del terremoto y sufrimos por la falta de preparación para enfrentar como país ( Gobierno, empresas, personas ) una catástrofe grande e inesperada.

Cuando las empresas definen los “escenarios de falla”, asignan probabilidad de ocurrencia, impacto y definen su estrategia para documentar su Plan de Continuidad de Negocio, y si el escenario de falla es “Terremoto o desastre de la naturaleza”, se describen las acciones o procedimientos alternativos, que se ejecutarán para resolver dicho escenario. Normalmente gran parte de los supuestos son teóricos y cuando a los directivos se les menciona que esto puede ocurrir, la tendencia es a bajarle el perfil; sin embargo, luego del 27 de febrero, muchos entendieron que la realidad supera a la ficción. En muchas de las empresas que han dado su testimonio, o simplemente la comunidad se ha enterado de lo ocurrido, han manifestado que en los planes de contingencia estaban escritas, acciones como las siguientes:

  • Comunicarse al celular del operador de turno
  • Llamar al celular del gerente general
  • Reunirse en un lugar predeterminado
  • Llamar a la red fija del gerente o responsables de, etc.

Al quedarse gran parte del país, sin energía eléctrica y sin comunicaciones de la red fija y móvil, nacen nuevos escenarios de falla derivados del principal ( terremoto ), entonces estos escenarios en la mayoría de los casos, no tenían como resolver la contingencia. Algo habrá que hacer al respecto para que no vuelva a suceder, o no??

Otros casos de acciones, que supuestamente resolvían el escenario de falla“terremoto“, eran los siguientes:

  • Ingresar al site de contingencias y activar los servidores hecho que no fue posible cuando el Site se ubicaba en un edificio ( como muchos casos de empresas en Chile ), debido a que el edificio se estaba evacuando y no se permitía el ingreso al inmueble.
  • En caso de empresas que quedan ubicadas en pisos altos, y que trabajan con operadores de turno, el factor humano también puede constituir un elemento fundamental en un nuevo escenario, ya que las personas pueden sentir pánico y simplemente abandonar su lugar de trabajo.

En resumen, estas situaciones se podrían agrupar bajo la pregunta, de cómo resolver la logística de un plan de continuidad de negocio en el momento de ocurrido un evento catastrófico, el cual habría que analizar, definiendo los recursos técnicos y movimientos logísticos que se podrían implementar, cómo probarlos, cómo coordinarse en momentos de anormalidad, etc.

Finalmente, quisiera insistir en que todas las empresas están expuestas a quedarse en un momento determinado con interrupción de su negocio, por lo que hay que tomar las medidas para mitigar dichos riesgos de la mejor forma posible y así otorgar seguridad a sus clientes, al directorio y a los accionistas, de que la empresa ( Negocio ) es capaz de continuar su desarrollo en el tiempo.

Sismo y Continuidad de Negocio

Por  César Pallavicini Zambrano (www.seguridadinformacion.cl)


Con el terremoto del pasado 27 de febrero, el país entero (Gobierno, empresas, personas) quedó expuesto a una situación a la que no estaba preparado.


Dejando de lado el tema de las autoridades gubernamentales y de las personas comunes -que seguramente aprendieron que hay que tener un plan de contingencia para enfrentar alguna catástrofe de esta magnitud- la preocupación se centra en las empresas y, dentro de ellas, fundamentalmente de las que brindan servicios denominados básicos o críticos, sin los cual el funcionamiento del país se paraliza..


No es posible que empresas que dan servicios de aviación, bancarios (entre ellos uno de los más grandes de Chile), de telecomunicaciones, televisivos, farmacéuticos, de seguridad en Data Center, etc., hayan quedado inoperativos en sus sistemas de información y/o sin el servicio principal. Y esto, aparte de la suspensión de las prestaciones, tenían como respuesta a la comunidad un “Estamos sin Sistemas” o “tenemos el sistema Caído”, causando, además, malestar en sus clientes.


Esto hace pensar que los Directivos de estas empresas no han destinado recursos financieros para el desarrollo y prueba de un Plan de Continuidad de Negocio. Se puede concluir, entonces, que los accionistas ignoran los riesgos que corre su negocio por alguna eventual negligencia de algunos ejecutivos, o por causas de fuerza mayor, como el terremoto que sufrimos.


Entonces, ¿qué pasará con las empresas que no tenían un Plan de Continuidad y que, lamentablemente, se encontraban en lugares cercanos al epicentro del sismo? Hay dos alternativas: que tengan una recuperación lenta y costosa, o que simplemente desaparezcan del mercado.


Luego de esta experiencia catastrófica, es de esperar que las empresas asuman responsablemente la importancia de desarrollar un Plan de Continuidad, de capacitar a su personal, probarlo y mantenerlo actualizado y vigente en el tiempo, para que la base económica del país se desarrolle de manera eficiente y eficaz, sin correr el riesgo de desaparecer.


Los Organismos Reguladores hicieron recomendaciones, dentro de las cuales destacan:


  • Definir las responsabilidades del Directorio, la gerencia y las autoridades.
  • Definir actividades críticas que representen mayor riesgo.
  • Establecer procedimientos comunicacionales internos y externos.
  • Probar el funcionamiento del plan, sobre todo bajo escenarios de falla como desastre en Data Center y corte de energía prolongado, entre otras.

Las empresas están expuestas a que se interrumpa su negocio, en un momento determinado. Por lo tanto, hay que tomar las medidas para mitigar los riesgos de la mejor forma posible y así otorgar seguridad a sus clientes, al directorio y a los accionistas de que la empresa (Negocio) es capaz de continuar su desarrollo y ser sustentable en el tiempo.

Parte del documento de ISO 27004

I. Introducción:


Esta futura norma tiene como misión desarrollar todos los aspectos que deben ser considerados para poder “medir” el cumplimiento de la norma ISO 27001. Como ya se sabe, la misma hace especial hincapié en el concepto de SGSI y en la aplicación de controles, los cuales son los que en definitiva le dan vida a este ciclo permanente de gestión. El principio básico es que si no se puede medir, entonces no sirve de nada. Como se irá viendo a lo largo de este texto, la idea de medición es muy amplia y en definitiva, va desde la medición más simple hasta la combinación de varios niveles o instancias de ellas para poder ofrecer datos que lleven a un verdadero “cuadro de mando de la seguridad”, que sería el objetivo último de todo el SGSI, y a través del cual, los diferentes niveles jerárquicos de la organización, podrán acceder a la información de seguridad, que a su nivel le hace falta conocer y en base a esta adoptar las decisiones correspondientes.


La norma ISO 27004, comienza con una Introducción, de la que se debe destacar:


El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.


Solicitar más información

Generalidades de gestión de continuidad de negocio (GCN)

¿Qué es GCN?


La gestión de continuidad de negocios (GCN) es un proceso propio del negocio, impulsado por el negocio que establece un marco estratégico y operativo apto para cada propósito que:


  • mejora proactivamente la flexibilidad de la organización ante la interrupción de su habilidad para conseguir sus objetivos fundamentales;
  • proporciona un método ensayado de restaurar la habilidad de una organización para suministrar y prestar sus productos y servicios fundamentales en un nivel acordado según un plazo acordado tras producirse una interrupción; y
  • proporciona una capacidad probada para gestionar una interrupción de negocio y proteger el prestigio y la marca de la organización.

Mientras que los procesos individuales de continuidad de negocio pueden cambiar según el tamaño, las estructuras y las responsabilidades de la organización, los principios básicos siguen siendo idénticos para organizaciones de voluntariado, sector privado o sector público, sin tener en cuenta su tamaño, alcance o complejidad.


GCN y la estrategia administrativa


Todas las organizaciones, tanto grandes como pequeñas, tienen metas y objetivos, como por ejemplo crecimiento, para prestar servicios y para adquirir otros negocios. Estos objetivos y metas se alcanzan generalmente a través de planes estratégicos para lograr los objetivos a corto, medio y largo plazo de la organización. El entendimiento de GCN en el nivel más alto de la organización asegurará que estos objetivos y metas no se vean perjudicados por interrupciones inesperadas.


Las consecuencias de cada incidente varían y pueden tener un alcance muy extenso. Estas consecuencias pueden entrañar pérdida de vida, pérdida de activos o ingresos o la incapacidad de entregar y prestar productos y servicios sobre los que podrían depender la estrategia, el prestigio o incluso la supervivencia de la organización.


GCN necesita reconocer la importancia estratégica de los grupos de interés conocidos. Además, a medida que se desarrollan las consecuencias de una interrupción, surgen nuevos grupos de interés y tienen un impacto directo en el alcance definitivo del daño. Por ejemplo, grupo interesados en la cuestión podrán intentar presionar a la organización que se esté enfrentando a una interrupción.


Todas estas cuestiones son de preocupación estratégica para la organización.


GCN – la relación con la gestión de riesgos


GNC es un elemento complementario con respecto a al marco de gestión de riesgos que pretende entender los riesgos a que están expuestos los negocios o las operaciones, así como las consecuencias de dichos riesgo.


La gestión de riesgos pretende gestionar el riesgo en torno a los productos y servicios fundamentales que entrega y presta la organización. La entrega y presentación de productos y servicios puede verse alterada por una gran diversidad de incidentes, muchos de los cuales son difíciles de predecir o analizar por su causa.


Al centrarse en el impacto de la interrupción, la GCN identifica aquellos productos y servicios de los que la organización depende para su supervivencia, y puede identificar los que se precisa para que la organización siga cumpliendo sus obligaciones. A través de la GNC, la organización puede reconocer lo que debe hacerse antes de que se produzca un incidente para proteger a su personal, locales, tecnología, información, cadena de suministro, grupo de interés y prestigio.


Con ese reconocimiento, entonces la organización puede considerar de forma realista las respuestas que es probable que sean necesarias según y cuando se produzca una interrupción, y así tener la confianza de que se las arreglará en cualquier circunstancia sin retrasos inaceptables en la entrega y prestación de sus productos y servicios.


La organización que cuente con medidas de GCN apropiadas puede beneficiarse de oportunidades que entrañen un riesgo elevado.


Por qué una organización debería acometer la GCN


La GCN constituye un elemento importante de la buena gestión de negocio, prestación de servicios y prudencia empresarial.


Los gerentes y propietarios tienen la responsabilidad de mantener la habilidad de la organización para funcionar sin interrupción. Las organizaciones constantemente adquieren compromiso o tienen la obligación de entregar y prestar productos y servicios; por ejemplo, celebrar contratos y de otras maneras elevan las expectativas. Todas las organizaciones tienen responsabilidades morales y sociales, particularmente cuando proporcionan una respuesta de emergencia o prestan un servicio público o voluntario. En algunos casos, las organizaciones tienen obligaciones legales o reglamentarias de acometer la GCN.


Toda actividad mercantil está expuesta a interrupciones, como fallos tecnológicos, inundaciones, interrupción de servicios y actos terroristas. La GCN otorga a la organización la capacidad para reaccionar adecuadamente ante interrupciones operativas mientras que se protegen tanto el bienestar como la seguridad.


Ahora la GCN debería considerarse no como un proceso de planificación de elevado coste, sino como un proceso que añada valor a la organización.


Las ventajas de un programa de GCN eficaz


Las ventajas de un programa de GCN eficaz son que la organización:


  • es capaz de identificar proactivamente los impacto de una interrupción operativa;
  • cuenta con una respuesta eficaz ante a interrupciones que minimiza el impacto en la organización;
  • mantiene la capacidad de gestionar los riesgos no asegurables;
  • fomenta el trabajo entre equipos;
  • es capaz de demostrar un respuesta creíble a través de un proceso de ejercicios;
  • podría mejorar su prestigio; y
  • podría obtener una ventaja competitiva, conferida por la habilidad demostrada de mantener la entrega y prestación.

Los resultados de un programa de GCN eficaz


Los resultados de un programa de GCN eficaz son que:


  • se identifican y protegen los productos y servicios fundamentales, procurando su continuidad;
  • se habilita una capacidad de gestión de incidentes para proporcionar una respuesta eficaz;
  • el entendimiento de la organización y su relación con otras organizaciones, reguladores u organismos de la administración pública correspondientes, autoridades locales y los servicios de emergencia se desarrolla, documenta y entiende debidamente;

Riesgos si no participa el área de Recursos Humanos

César Pallavicini Z. Socio  de Pallavicini Consultores


Introducción


Hace algunos  años,  la función de seguridad informática dependía de la Gerencia de Tecnologías de la Información, ya que la principal preocupación relacionada con la Información eran sus aspectos netamente técnicos, tales como los riesgos de virus, respaldos, spam, violación de password, entre otros. Sin embargo, con el paso del tiempo, las Compañías se dieron cuenta que la Información era un activo crítico y relevante para el desarrollo del negocio y que por lo tanto, había que protegerla. Es por esto, que la función pasó a llamarse “Seguridad de la Información”, de  tal forma que su gestión abarcara no solamente los aspectos técnicos, si no que también el cuidado de la información de toda la Compañía, independiente del medio en que se custodiara. Adicionalmente (o al mismo tiempo), comenzaron a aumentar los casos de fraudes y/o violación de las políticas de seguridad al interior de la empresa, las que incluso podían efectuar los propios empleados debido al mayor acceso a Información considerada confidencial o crítica. Es aquí donde considero que el área de Recursos Humanos debiera involucrarse en el Comité de seguridad de la información y en los aspectos de seguridad que afectan directamente a los empleados, como por ejemplo actualizando reglamento interno, contratos de trabajo y anticipándose a la capacitación de usuarios para tener un plan de “evangelización” permanente y de largo plazo..


Desarrollo


Debido al crecimiento vertiginoso de las tecnologías de la información, sus mayores capacidades y bajos  costos de almacenamiento de datos; las empresas fueron procesando y almacenando grandes volúmenes de información, por lo que cada vez su “negocio” depende más de la tecnología en la cual están implementados sus sistemas. Paulatinamente tomaron conciencia de los riesgos a los  que se exponían en caso que  la información fuera vulnerada, por lo que la función de seguridad informática, que estaba principalmente focalizada a los aspectos tecnológicos, pasó a denominarse “Seguridad de la Información”, lo que significó un cambio muy importante debido a que la función, preocupación y gestión era ahora para toda la información que administraba y utilizaba la compañía en el ámbito de su negocio. Desde ese día los directivos y gerentes se refieren a la información, como  uno de los activos más importantes para el desarrollo del negocio.


Participación en el comité de seguridad de la información


Posteriormente, surge la necesidad de dar mayor énfasis a lo señalado, y se crea un Comité de Seguridad, formado por el Gerente General y los gerentes de áreas, cuyo objetivo principal es analizar y dirigir la gestión de seguridad de la información integralmente. Es precisamente en este comité, donde considero se debería  incorporar como un miembro activo al Gerente o responsable de la gestión de recursos humanos, sin  embargo, en muchos casos se produce una resistencia de participar debido a que no se sabe cuál es la relación de está área con la Seguridad de la Información, y como en opinión del suscrito cada vez es más relevante su  participación, a continuación daré una breve explicación.


Normas ISO 17799


La norma internacional ISO 17799 menciona en uno de sus dominios, que la seguridad en una empresa debe partir desde la etapa de reclutamiento de personas. Independientemente de las políticas y procedimientos internos de reclutamiento y selección de personal, se debe  tener políticas de seguridad complementarias aplicadas al proceso  antes mencionado, ya que  los controles y validaciones impuestos, podrían evitar el ingreso de un hacker o persona que engañe desde el inicio a la compañía.


Controles tomado como base la información oficial de empleados vigentes


Por otra parte,  en relación a las cuentas de usuarios y personal vigente en la base de datos del personal, resulta frecuente en las empresas encontrar que las cuentas de usuarios de ex empleados desvinculados hace meses (años no?) de una compañía, sigan existiendo en los servidores de aplicaciones, servidores de dominio, correo electrónico, etc. Con la participación activa del área de RRHH y un cumplimiento adecuado del procedimiento de eliminación de cuentas, sería evitable esta situación, que pone en riesgo la seguridad de la empresa.


Lo normal, es que las compañías ya tengan publicadas y difundidas entre sus colaboradores, las políticas, normas y procedimientos de seguridad de la información, sin embargo, se requiere que la Gerencia de RRHH incorpore un capitulo especial en el Reglamento Interno, donde agrupe toda la normativa, como ejemplo: uso de Internet, prohibiciones sobre mensajería instantánea, uso de puertos USB, transmisión de archivos por correo electrónico,  sanciones por incumplimiento de políticas, etc.


Relación contractual con el empleado


En cuanto a la relación contractual con los empleados, se debe separar a los usuarios “normales”, de usuarios que manejan información crítica, y de desarrolladores, analistas y programadores; es decir los contratos de trabajo deberían incorporar cláusulas especiales, que hagan alusión a las leyes vigentes, tales como Protección de Datos Personales (ley 19628), actualmente esta ley  esta siendo discutida en el parlamento para perfeccionarla, delitos informáticos (ley 19.223), en el caso de los desarrolladores rige la ley 17.336 sobre Propiedad Intelectual. Cabe señalar, que han existido casos en nuestro país, donde las empresas han despedido a empleados por incumplimiento de normas o delitos informáticos, pero posteriormente al iniciarse un proceso judicial, la sentencia ha favorecido al ex empleado, generalmente por la falta de argumentos o documentación formal de la empresa, sobre el tema.


Por otra parte cuando un empleado renuncia o  es despedido, es común que se pague la indemnización o lo que le corresponde legalmente, pero no que se verifiquen qué elementos de hardware tiene asignado esa persona.
Sin embargo,  esto tiene como consecuencia los siguientes problemas:


  • Si el ex empleado tiene asignado un  notebook o Laptop.  Este equipo y la Información del disco duro, se lo lleva hasta que alguien lo llamé para pedírselo de vuelta a la empresa.
  • Permanecen habilitadas las cuentas de acceso a los sistemas, después de la desvinculación por un tiempo prolongado.
  • No se elimina su cuenta de correo. Acceso al correo electrónico en forma remota posterior a su desvinculación.

Adicionalmente, si una persona ha sido despedida por robo de información, violación de políticas de uso de Internet ( Ej. pornografía u otro ), es importante que la empresa tome resguardos previos, como ejemplo que el área de RRHH haya enviado el reglamento interno y las políticas de seguridad de la información, a la toma de conocimiento de la Dirección del trabajo, de tal forma que cuando el ex empleado acuda a dicho dirección, para acusar a la empresa de un despido arbitrario y declare no haber conocido las políticas, este organismo resuelva en base a los documentos previamente sancionados.


Otra de las actividades en que las empresas requieren  de la iniciativa y coordinación del área de Recursos Humanos,  tiene que ver con la capacitación y educación de seguridad de la información, también llamada “Evangelización”, debido a que en los países desarrollados han llegado a la conclusión que es preferible que las personas que trabajan como usuarios, entiendan las razones por la cuales se debe proteger la información, y no vean las recomendaciones o normas como formas de molestar sus tareas diarias, así se podría lograr que los usuarios realmente tomaran conciencia de la importancia que tiene hoy en día el cuidado de la información a la que se tiene acceso y las consecuencias del mal uso o filtración de datos a terceros.


Tendencia


Con el fin de independizar las tareas de Seguridad de la Información del área tecnológica, nace la función del Oficial de Seguridad de la Información, responsable de velar por  el resguardo de la información de toda la compañía y de reportar a un área no tecnológica. Esta es una tendencia, que se ha dado desde las grandes corporaciones y que obviamente aporta a la seriedad con que se enfrenta la gestión de seguridad integral, eso si requiere un profesional muy especializado y con renta y beneficios acorde a la importancia del cargo.


Fraudes internos


Se debe considerar que estadísticas a nivel mundial y con mayor razón en Latinoamérica, muestran que el 85% de los fraudes en las empresas son hechos por gente interna o ex empleados de la Compañía.


Gráficos de Fraudes Internos  Fuente El Mercurio



TIPS
Para ilustrar de mejor forma lo expuesto, a continuación mencionaré algunas de las amenazas más comunes a las que se exponen las empresas actualmente:


  • Aumento de los sitios Web destinados a robar contraseñas mediante el uso de páginas de inicio falsas, utilizadas en servicios en línea populares.
  • Aumento en el volumen del spam con imágenes que consumen gran ancho de banda.
  • Acceso a sitios que otorgan un espacio en  disco en forma gratuita, actualmente hasta 5 gigabytes.
  • La popularidad del uso compartido del video en la web, hace inevitable que los hackers comiencen a usar archivos MPEG, como un medio de distribuir código malicioso.
  • Los ataques a teléfonos móviles, a medida que los dispositivos móviles se hagan más “inteligentes” y con mayor conexión, por lo que aumentan las posibilidades de robar información.
  • Aumento de los Posibles Programas no Deseados (PUP, Potencially Unwanted Programs), como los programas publicitarios.
  • Los robos de identidad y la pérdida de datos.

Preguntas de Análisis:


  • En su empresa ¿Sesiona generalmente un comité de Seguridad de la Información?
  • ¿Participa como gerente o representante de RRHH en forma permanente?
  • ¿Ha incorporado normas de Seguridad de la Información al Reglamento Interno recientemente?¿Este reglamento contiene sanciones por mal uso o incumplimiento de normas?
  • ¿Las políticas y normas de seguridad de la información, han sido sancionados o visadas por la Dirección del Trabajo?
  • ¿Los empleados que manejan información crítica tienen en sus contratos de trabajo, cláusulas especiales sobre el manejo de la confidencialidad, integridad y privacidad de la información?
  • ¿Los ingenieros y/o desarrolladores de sistemas,  tienen en sus contratos de trabajo, cláusulas especiales sobre  propiedad intelectual y  manejo de la confidencialidad, integridad y privacidad de la información?
  • ¿Existe segregación de funciones?. Las coordina RRHH con el Oficial de Seguridad ¿?
  • ¿Analiza periódicamente estadísticas de uso de Internet al interior de la empresa,  que incluya sitios más visitados,  mensajería instantánea, correo electrónico, software de red social, fotologs, videoblogs, etc.?
  • ¿En su empresa existe la función y cargo de Oficial de Seguridad de la información? ¿Se ha reunido alguna vez con él?

Conclusión


En conclusión, para que se haga una gestión integral de Seguridad de la Información en las empresas, se requiere entre otras cosas,  de la participación activa del área de recursos humanos, idealmente como miembro del comité de seguridad, desde donde se tomarán las decisiones más importantes en esta materia. De igual forma, y en la medida que RRHH participe en los aspectos contractuales, me refiero a establecer cláusulas especiales en los contratos de trabajo de empleados críticos, coordinando  con el asesor  legal y realizando los trámites en la dirección del trabajo, se podrá lograr una base contractual, para los casos en que se descubran empleados realizando actos indebidos o violando la seguridad de la información de la compañía.


Referencias


El Mercurio
Norma ISO 1779

BASILEA II: ¿Está preparada la Banca ?

En estos tiempos, ya nadie duda que la información se ha convertido en un activo para las empresas. Por esta razón, estamos experimentando un cambio respecto a la forma de enfrentar la Seguridad de la Información, en cuanto a la estrategia, planeación y su administración. Actualmente, la banca y las grandes corporaciones que han entendido la importancia de este cambio, tienen formalizado un comité, plan anual, presupuesto de inversión y gasto en Seguridad de la Información.


Muchos han asimilado e incorporado el cargo de Oficial de Seguridad de la Información, en una modalidad de outsourcing y otros como uno independiente del área de Tecnologías pero con dependencia del más alto nivel. Esta tendencia ciertamente ha sido ayudada por las revisiones y observaciones de auditores externos que basados en COBIT, COSO, ISO 17799, la ley de Sarbanes-Oxley, entre otros, emiten informes y recomendaciones, que las empresas ya están considerando.


Un área de la economía que se preocupa de la seguridad de la información es la banca. Debido a la propuesta del Comité de Supervisión Bancaria de Basilea, llamada Basilea II, que exige a las entidades financieras afinar al máximo la medición y gestión de riesgos, los bancos deberán adecuar los niveles de requerimientos mínimos de capital a la creciente sofisticación de las operaciones bancarias y de los mercados financieros.


Dicha normativa es muy probable que no pueda aplicarse en Europa hasta el año 2007 (Diciembre del 2006 para los miembros del G-10), debido a los exigentes aspectos que incluye. Habrá más tiempo, pero no hay que “dormirse en los laureles” respecto a la futura regulación sobre requerimientos de capital y modelos internos del BIS (Bank For International Settlements).


Ese es el mensaje que se está trasladando desde los bancos centrales y los organismos supervisores europeos a los bancos privados.


Para Chile, las tendencias y los plazos son muy parecidos, y tendrán el mismo impacto. Por eso la Superintendencia de Bancos ( www.sbif.cl ) informó el 14 de julio pasado que modificó el capitulo 1-13, definiendo que “el Riesgo Operacional está conformado por el riesgo de pérdidas resultantes de una falta de adecuación o de una falla de los procesos del personal y de los sistemas internos o bien por causa de acontecimientos externos”, enfatizando la importancia de que el Riesgo Operacional, sea identificado, evaluado, monitoreado, controlado y por supuesto mitigado.

Ley Sarbanes-Oxley (Ley SOX)

(Extractado por Pallavicini Consultores)


En Julio 2002, el Congreso de los Estados Unidos de Norteamérica aprobó la ley Sarbanes-Oxley (Ley SOX). Su objetivo principal fue devolver a los inversionistas la confianza en los mercados de capitales después de los muy publicitados casos de bancarrota que puso a los ejecutivos, comités de auditoria y auditores independientes en tela de juicio.


En junio de 2003 la SEC aprobó las reglas de implementación de la Sección 404 de la Ley, requiriendo a los auditores independientes de compañías públicas evaluar y reportar sobre la eficiencia de los controles internos en la generación de los reportes financieros de la compañía.


Secciones relevantes:


Sección 302: Certificación trimestral y anual del Gerente General y Gerente de Finanzas


Section 404 (SOX 404): Evaluación anual de la efectividad de los controles internos que son relevantes en el proceso de generación de los estados financieros


Pilar de la Ley SOX: Control Interno. Según los artículos 302 y 404, establece que el diseño, evaluación y mejoramiento del control interno será un proceso rutinario y parte importante en el logro de nuevos negocios para las compañías.


A Quienes? La ley es aplicable a todas las empresas Norteamericanas o extranjeras bajo la jurisdicción de la SEC (Securities and Exchange Commission). Por ejemplo empresas chilenas que emiten ADR o las empresas que le prestan servicios a multinacionales. Éstas deben cumplir con esta normativa para el término del año fiscal que concluye el 15 de Julio de 2006.


Rol de las TIC: El procesamiento y emisión de los reportes financieros son realizados utilizando sistemas de información, bien sean integrados o no, por lo que el control interno de TI debe ser diseñado, evaluado y mantenido como cualquier otro proceso de negocio de la corporación, a fin de cumplir con las exigencias de la Ley SOX y el Reglamento de la SEC.


En definitiva, lo que la Ley busca no sólo tiene relación con la disponibilidad de la información del negocio a auditores externos y así evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnológica, la que regule negligencias y problemas, mostrándose más transparente en una sistema económico donde existen muchos elementos aún para poder flanquear las regulaciones.


Ver presentacion en PowerPoint

SAS 70 Statement on Auditing Standards (SAS) No. 70 by the American Institute of Certified Public Accountants

(Resumen preparado y extractado por Pallavicini Consultores)


Qué es SAS70? Es un proceso de auditoria independiente enfocado a los controles internos y externos que posee una empresa que presta servicios. Al auditar los estados financieros de una empresa usuaria, el consultor y/o auditor independiente emita una opinión referente a los controles de las empresas que prestan servicios externos a esta empresa usuaria. Verifica la existencia del control, su documentación, difusión y uso efectivo. Además analiza su diseño y prueba comprobando su efectividad operativa.


La opinión del auditor sobre la empresa de servicio se refiere a si:


  • La descripción de los controles es presentada correctamente
  • Los controles han sido diseñados para ser efectivos
  • Los controles están puestos en operación y cuando
  • Los controles están operando en forma efectiva sobre un período específico de tiempo.

A quién está dirigido? Generalmente a Empresas productivas o de servicios (Organización Usuaria) que obtienen servicios de empresas externas (Organización de Servicio) tales como ASP, Comisiones de confianza (Bank Trust) Call Center, Help Desk, Centro Procesamiento de Datos entre otros. Se puede realizar a toda la empresa o a partes de la empresa subdividiéndolas por ejemplo, en unidades de negocio.


Qué no es SAS70? No es un “checklist” o estándar que la empresa debe cumplir o a partir del cual obtenga un puntaje. No es la finalidad de SAS70 diseñar, desarrollar y ejecutar los controles.


Quién la realiza? SAS 70 la realiza una empresa certificada independiente: Certified Public Accountant (CPA) y que adhiere a los estándares establecidos por AIPAC. Debe contar con profesionales orientadas al manejo de controles con experiencia en contabilidad, auditorias y seguridad de la información.


Cómo me preparo para SAS70? Ya que los controles son propios de cada empresa de servicios y sus clientes, son estas empresas de servicios las responsables de definir objetivos de control y construir sus controles. Para esto último se puede acudir a COBIT (publicado por ISACA) o Trust Services Assurance Principles (publicado por AICPAC/CICA) o COSO framework. También la ISO 17799 ( www.seguridadinformacion.cl ) y la Sección 302, y 404 de la Ley Sarbanes-Oxley ( SOX ), pueden servir como una excelente herramienta de referencia o línea base para desarrollar estos controles.


... pulse aquí mara solicitar mas información

Mayor Fraude cibernético de la historia

La empresa Master Card Internacional dio a conocer lo que podría ser uno de los casos de hackeo más grandes de toda la historia en EEUU y por la cifras informadas, pareciera que es lo mas grande, en la historia de las nuevas tecnologías de la información, me refiero a la obtención de 40 millones de números de tarjetas de crédito.


Master Card anunció esta semana que la falla en los sistemas de seguridad, ocurrió en la empresa CardSystems Solutions, de Atlanta, que procesa pagos a bancos y comerciantes. Al mismo tiempo indicó que cerca de 14 millones de tarjetas llevan su nombre y las otras el de distintos emisores, como Visa Internacional, American Express, por lo que hasta 22 millones de tarjetas Visa podrían verse afectadas.


Afortunadamente para los clientes de MasterCard, el pirata informático sólo accedió a los números de las mismas y no a otros datos como los dígitos de la Seguridad Social (equivalente al número de RUT nuestro) o la fecha de nacimiento de los clientes, datos usados frecuentemente por los usuarios que no asignan la importancia a la seguridad.


Según un informe publicado recientemente por la firma de Massachusetts Aite Group, EU es el país desarrollado con mayores tasas de robo de identidad. Según la compañía, el uso fraudulento de datos individuales es siete veces mayor en Estados Unidos que en Europa y Japón.


El robo de identidad ocupa, según la Comisión Federal de Comercio (FTC), el primer puesto en la lista de delitos contra los consumidores. Más de 10 millones de personas son víctimas anualmente de este tipo de fraude que cuesta a las empresas unos 50 mil millones de dólares anuales y a los consumidores unos 5 mil millones, según los datos más recientes de la FTC.


Robo de identidad, una epidemia:


El robo de identidad se ha convertido en una verdadera plaga, asociada a la expansión de la era digital. Según estadísticas de la Comisión Federal de Comercio de los Estados Unidos, sólo en ese país los delitos con datos robados de cuentas bancarias y tarjetas de crédito, afectaron en los últimos cinco años a 27 millones de personas.


Los especialistas que realizaron el estudio explicaron que, en la forma más común del robo de identidad (suplantación), el ladrón se hace pasar por la víctima para usar una tarjeta o una cuenta bancaria existente. Pero las variantes más perniciosas son otras: la primera, cuando el delincuente se hace emitir tarjetas o cuentas nuevas con el nombre de la víctima (es un fraude difícil de detectar y de solucionar porque suele permanecer sin detectar por largo tiempo); la segunda, cuando los piratas cibernéticos jaquean las redes y roban claves de acceso y números de tarjetas. La velocidad del delito es tal, que cuando los afectados logran descubrirlo suele ser demasiado tarde.


En Chile, todavía no existen estadísticas, salvo casos aislados que se han dado a conocer, tal como: Clonación de tarjetas de crédito de una cajera de un supermercado, clonación de tarjetas de debito en cajeros automáticos. Sin embargo, la Banca en general cuando ocurre un fraude o delito informático, antes de investigar devuelve la cifra afectada al cliente y después investiga, pero nunca entrega el valor total del fraude en pesos, al parecer, para proteger su imagen y no generar desconfianza en sus clientes. De hecho, recientemente algunos bancos han creado el seguro contra fraudes en el ciberespacio, el cual se puede obtener por una módica suma mensual, pero obviamente tiene un tope de dinero de cobertura.


En resumen, en Latinoamérica y como país no estamos preparados para enfrentar un hacker de la magnitud del ocurrido en Estados Unidos, sin embargo, estamos expuestos igual o peor que ellos, así que el Estado, los organismos reguladores, y superintendencias, entre otros deberían hacer más exigencias en materia de seguridad de la información, a los bancos e instituciones financieras y todos sus proveedores de tecnologías.

Glosario de Términos

Usuario: Una persona, que utiliza uno ó más sistemas de una empresa, para lo cual, debe estar identificado y autorizado, previo a ser validado como empleado o funcionario de la empresa.


  • Usuarios de equipos desktop ( PC )
  • Usuarios de equipos Móviles
  • Usuarios y contratistas externos a la empresa

Los medios de acceso a la información  son:


  • Los servidores de aplicación, o de datos
  • Las redes de comunicación
  • Acceso telefónico
  • Internet

Servidor o Máquina de Respaldo: Un equipo con las mismas características técnicas que la máquina de producción normal que se usará en caso de falla de la máquina titular. Deberá permanecer actualizada en cuando a sistema operativo y software de aplicación.


Respaldo para Contingencias: Es un archivo magnético (Cinta, disco ó CD) que contiene los archivos necesarios y suficientes,  para recuperar un servidor, normalmente contiene Sistema Operativo, Programas fuentes y objetos, Cuentas de usuarios archivos con datos más críticos.


Tiempo de Activación: Es el tiempo transcurrido desde la negación de servicio, hasta el momento de recuperación del servicio para el usuario.


Aplicaciones  o aplicativos: Conjunto de programas y/o equipos de cómputo que realizan tareas específicas y/o que permitan procesar de manera automatizada un servicio o producto.


Cuenta ó Login: Se define como "cuenta" o "matrícula" a los códigos de identificación, los registros o los perfiles de acceso que permiten identificar al usuario durante su permanencia en los Sistemas de Información del Banco.


Password: Se denomina "password" o clave de acceso, al conjunto de caracteres que una persona debe registrar para ser "reconocida" como usuario autorizado, y acceder a los recursos de un equipo computacional  o sistema utilizado para el procesamiento de datos (información).


Líder Usuario: Se define como líder usuario al usuario propietario de la información o al gerente de la unidad de negocios que administra un servicio o producto bancario.


Base de datos: Conjunto de datos de información que se encuentran relacionados entre sí bajo una estructura ordenada que permite su almacenamiento y explotación óptima de la información.


Log: Registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoria.


Respaldo ó Back-Up: Copia de información almacenada en un medio magnético (disco, CD, o cinta), se genera o utiliza en forma rutinaria; con el propósito de utilizar dicha información en casos de emergencia o  contingencia.


Encriptación: Proceso mediante el cual la información o archivos es alterada, en forma lógica, con el objetivo de evitar que alguien no autorizado pueda interpretarla al verla o copiarla, para ello se utiliza una clave en el origen y en el destino.


Plan de Continuidad de Negocio: Conocido como PCN o BCP ( Business Continuity Plan ), permite a las empresas activarse en caso de un desastre tal que interrumpa uno o más procesos críticos de negocio.


Plan de Contingencia Tecnológico: Procedimientos alternativos, que deberán entrar en funcionamiento al ocurrir una contingencia tal, que no permita a los servidores,  o procesos críticos dar los servicios en forma normal y continua.


Sitio de Respaldo o Site de Respaldo: Un lugar alternativo donde se instalan los computadores,  que actuarán como Site de Contingencias cuando falle la máquina o servidor normal de producción. Este sitio secundario o alternativo, contará con sus propios enlaces, fuentes de energía, accesos y ubicación geográfica distinta al sitio primario.


Internet: Red de redes de alcance mundial, que opera  bajo ciertos estándares y protocolos internacionales.


Intranet: Similar al Internet, con la diferencia que los participantes se circunscriben a los límites de una  red interna.


WI_FI: Red inalámbrica de corto alcance.


Página Web o Sitio Web: Forma de presentar la información cuando se está utilizando los sistemas de Internet o intranet.


UPS: Equipo que permite garantizar la estabilidad de la energía eléctrica y en algunos casos la continuidad de suministro mientras se encienden los generadores de energía, su significado en español es Unidad de Suministro de Energía (Unit Power Supply),


Firewall: Equipos de protección de acceso a parte de la red principal, donde está almacenada la  información crítica y confidencial.


Virus informático: Programas lógicos que se activan sin control del usuario y que provocan un resultado inesperado en los diferentes programas aplicativos o del sistema. Estos programas pueden tener diferentes efectos, desde la simple activación de acciones


Phishing: El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.


¿En qué consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.


¿Cómo lo realizan? El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes;


- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.


- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.


- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario facilita todos sus datos.


Pharming: su nombre alude a las cosechas de los granjeros, ya que recogen de a poco fondos de terceros. “Llega al computador como un virus que modifica archivos de su PC, para que al momento de ingresar a la web sea enviado a una página falsa“.


Si al comienzo los ataques venían a través de métodos como el “phishing”, ahora los robos cibernéticos se han vuelto más sofisticados. Lo último corre por cuenta de un virus que entra a los computadores, y cada vez que el cliente de un banco intenta entrar a su portal lo envía a una réplica igual, pero interferida por estafadores que copian sus claves y en segundos transfieren sus fondos a otras cuentas.

PREGUNTAS FRECUENTES

P: ¿Qué es la ISO 17799?


R: La ISO 17799 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.


P: ¿Es certificable la ISO 17799?


R: Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.


P: ¿Por qué hay confusión en el tema de la certificación?


R: En gran parte se debe a los errores de traducción de la norma. El original en inglés de la ISO 17799 usa la expresión verbal “should”, un término presente en normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.


P: Si la ISO 17799 no es certificable, ¿cuál es su utilidad?


R: La ISO 17799 ofrece el detalle de los controles de seguridad recomendados y que en la práctica se seleccionan en base a una valuación de riesgos. La ISO 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligación, lo que permite su auditoría y certificación. Y justamente a fines de 2005 se liberó la ISO 27001, tomada en su mayor parte de la BS 7799-2.


P: ¿Pero entonces, hay que trabajar con las dos normas al mismo tiempo?


R: Efectivamente. La ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 17799, estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y certificar.


Mientras varios miles de empresas en todo el mundo están en proceso de certificación actualmente bajo la ISO 27001, a fines de Septiembre de 2006 ya se habían otorgado en total más de 3000 certificaciones correspondientes a organizaciones de 67 países diferentes.


P: ¿Además de su capacidad de ser certificable, qué otras características tiene la ISO 27001?


R: El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios.


Además, bajo el esquema común del modelo PDCA, la ISO 27001 también ofrece un interesante alineamiento con otras normas también de sistemas de gestión, como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en una implementación semiintegrada.


Así las cosas, el cumplimiento de esta norma constituye el aseguramiento idóneo para:


  • Las empresas que buscan una posición con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B.
  • Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando así las mayores exigencias de capital para sus operaciones.
  • Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado para la seguridad de la información que requiere la aplicación de la ley Sarbanes-Oxley.

P: ¿Cuál es el proceso de implementación de la norma ISO 27001?


R: A muy grandes rasgos se arranca con la determinación del Alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General. Una valuación de riesgos –cuya metodología no establece la ISO 27001- y una auditoría basada en un análisis gap contra los controles de la norma ISO 17799, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reducción de los respectivos riesgos, se logra por medio de normas de aplicación, procedimientos y pautas. Los puntos más críticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaración de Aplicabilidad, SoA, que se anexa junto con el Alcance a la certificación posterior.


P: ¿La ISO 17799 ahora se llama ISO 27002?


R: La ISO 17799 será oficialmente llamada ISO 27002 en abril de 2007, pero mientras tanto es probable que se produzcan cambios con respecto a la versión actual que es de 2005.


P: ¿Y cómo es el tema de la nueva serie ISO 27000?


R: Con la nueva serie ISO 27000 se busca dar un carácter autoconsistente e integral al conjunto de normas de seguridad de la información. De esta serie oficialmente ya se mencionan seis normas, y se puede decir que está encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestión de seguridad de la información. Tres de las nuevas normas se perfilan de gran trascendencia.


La ISO 27005, actualmente en draft, se refiere a la valuación y gestión de riesgos. Está basada en parte de la ISO 13335, aunque es probable que también tome algunos temas de la nueva norma británica BS 7799-3 publicada en marzo de 2006.


La ISO 27003, también en preparación, estipulará las métricas y mediciones para la gestión de seguridad.


La ISO 27006, anunciada a mediados de 2006, establece los requerimientos, que podrían certificarse, para los proveedores de sitios y servicios de recuperación de desastres

SEGURIDAD DE LA INFORMACIÓN, AUDITORÍAS Y MARCO JURÍDICO

Rodolfo Herrera Bravo
Abogado.
Master en Derecho e Informática, Universidad Complutense de Madrid


Las auditorías de sistemas de información analizan diversas áreas técnicas, como la gestión y administración, el ciclo de desarrollo y mantenimiento de aplicaciones, las áreas de producción y explotación, las técnicas de sistemas, la seguridad lógica y física, las telecomunicaciones, los sistemas de gestión de bases de datos, las redes locales, entre otras. En cada punto habrá una normativa específica a la cual someterse, sea legal, reglamentaria, interna o contractual, lo que significa que la seguridad de la información necesita que se reconozca las particularidades del marco jurídico aplicable a la organización.


¿En qué consiste una auditoría de sistemas de información?


En primer término, un sistema de información es un conjunto de procesos planificados para dar soporte y ejecutar una actividad, y pueden ser manuales, semi-mecanizados y mecanizados. En ellos destacan dos grandes tipos de recursos: los humanos y los tecnológicos.



... pulse aquí para solicitar mas información

ASPECTOS LEGALES DE LA SEGURIDAD DE LA INFORMACIÓN

Rodolfo Herrera Bravo
Abogado.
Master en Derecho e Informática, Universidad Complutense de Madrid


Es un hecho que para algunos los beneficios que se derivan de la utilización de las tecnologías de información les son indiferentes y que otros, incluso, sienten temor y desconfían, todo lo cual ralentiza el aprovechamiento de estos medios y su asunción natural en nuestro quehacer cotidiano. Pero como las confianzas no se obtienen gratuitamente, sino que se ganan, es necesario contribuir a mejorar la percepción individual y colectiva del fenómeno tecnológico, siendo uno de los puntos influyentes para ello aquel que dice relación con la seguridad de la información y de su entorno.



... pulse aquí para solicitar mas información

CLOUD COMPUTING Y SEGURIDAD: DESPEJANDO NUBES PARA PROTEGER LOS DATOS PERSONALES

Rodolfo Herrera Bravo
Abogado.
Master en Derecho e Informática, Universidad Complutense de Madrid


Una fuerte tendencia actual en gestión tecnológica se basa en modelos de servicios digitales a través de Internet, esquema conocido como cloud computing. Su materialización a través de contratos abre la posibilidad de externalizar el tratamiento de bases de datos personales a un tercero, disminuyendo considerablemente el control del responsable del banco de datos, especialmente en cuanto al nivel de seguridad que pasa a tener esa información. Por tal motivo, en este trabajo se destacan ciertas ideas fundamentales sobre el papel de la legislación de protección de datos personales en estos modelos contractuales, aclarando el rol que asumen las partes y las obligaciones legales que les rigen.



... pulse aquí para solicitar mas información

Artículos de interés


Boletines Mensuales